MYOEY

genau das ist konfiguriert aber führt nicht zum gewünschten Ergebniss!!! Weil der ungewünschten Zugriff zwischen kunde1 und kunde2 möglicht ist :-( da die jeweilige route in der routingstabelle drin ist!!! Ziel ist es die route des jeweiligen kunde nicht in die routingstabelle des anderen zu sehen und zwar wie folgt: sho ip route vrf kunde1 B 192.168.0.0 is directly conected, 01:36:09, Vlan 100 B 192.168.2.0 is directly conected, 01:56:09, Vlan 102 *darf nicht sein* C 192.168.1.0 is directly conected, Vlan 101 sho ip route vrf kunde2 B 192.168.0.0 is directly conected, 01:43:09, Vlan 100 B 192.168.1.0 is directly conected, 01:53:09, Vlan 101 *darf nicht sein* C 192.168.2.0 is directly conected, Vlan 102 sho ip route vrf zentrale B 192.168.1.0 is directly conected, 01:36:09, Vlan 101 B 192.168.2.0 is directly conected, 01:36:09, Vlan 102 C 192.168.0.0 is directly conected, Vlan 100 Es wäre doch eine Kleinigkeit für unsere MPLS-VPN Experten :-)

loopback ist nicht konfiguriert. vlan4 wird fürs Management benutzt... die beiden physikalischen interfaces Gig 1/0 und Gig 1/1 sind als trank konfiguriert.

ping ist successful Nun funktioniert es aber erst nachdem ich den command "ntp source Gigabitethernet1/1" statt "ntp source Vlan4" reingesetzt hab d. h. nur mit der physikalischen interface!!!! aber der Switch ist über Gig1/1 und Gig 1/2 redundant angebunden, Was passiert dann wenn der trunk port gig 1/1 down geht und alles über gig 1/2 läuft?? dann hab passt ntp nicht mehr!!!! hat man eine Idee oder Tipp??? Danke und Gruss

Der Switch hat keine bgp neigbors und die ganzen routen hat er selbest, Er holt sich von niergendwo routings oder sonst was, da alle Routen ihm bekannt sind! also es müsste nur mit den commands "route-target ... " gehen aber weiß leider nicht wie :-(

ja, die route stimmt und der Switch darf den NTP-Server über port UDP123 ansprechen aber der Switch versucht sich überhaut nicht zu synchronisieren!!! Switch#sho ntp associations address ref clock st when poll reach delay offset disp ~192.53.103.108 0.0.0.0 16 - 64 0 0.0 0.00 16000. * master (synced), # master (unsynced), + selected, - candidate, ~ configured Switch#sho ntp status Clock is unsynchronized, stratum 16, no reference clock nominal freq is 250.0000 Hz, actual freq is 250.0000 Hz, precision is 2**18 reference time is CC31BF0A.C1475028 (11:14:18.755 UTC Fri Jul 11 2008) clock offset is 0.0000 msec, root delay is 0.00 msec root dispersion is 0.02 msec, peer dispersion is 0.02 msec config: ntp source Vlan4 ntp update-calendar ntp server 192.53.103.108 @luxus: "ntp clock-period " hab ja rausgenommen aber leider ohne Erfolg wir bringe den Switch dazu, sich mit dem NTP Server zu synchronisieren??

erstmal danke für deine Antwort! mit ACL möchte ich das auf jeden Fall vermeiden!! Ich möchte einfach vermeiden, dass die routen der jeweiligen vrf in der routing-table der andere drin sind! wie könnhte es mit route-maps aussehen? Gruss

Eine Idee bzw. Vorschlag wäre super ;-)

hallo, Ich habe folgende auf ein Catalyst3750E konfiguriert: ip vrf kunde1 rd 8500:101 route-target both 8500:101 route-target both 8500:100 ip vrf kunde2 rd 8500:102 route-target both 8500:102 route-target both 8500:100 ip vrf zentrale rd 8500:100 route-target both 8500:100 route-target both 8500:101 route-target both 8500:102 mpls label protocol ldp mpls ldp logging neighbor-changes router bgp 8500 no synchronization bgp log-neighbor-changes neighbor CORE ebgp-multihop 5 no auto-summary address-family vpnv4 neighbor CORE send-community extended exit-address-family address-family ipv4 vrf kunde1 redistribute connected no synchronization exit-address-family address-family ipv4 vrf kunde2 redistribute connected no synchronization exit-address-family address-family ipv4 vrf zentrale redistribute connected no synchronization exit-address-family interface Vlan101 ip vrf forwarding kunde1 ip address 192.168.1.1 255.255.255.0 interface Vlan102 ip vrf forwarding kunde2 ip address 192.168.2.1 255.255.255.0 interface Vlan100 ip vrf forwarding zentrale ip address 192.168.0.1 255.255.255.0 sho ip route vrf kunde1 B 192.168.0.0 is directly conected, 01:36:09, Vlan 100 B 192.168.2.0 is directly conected, 01:56:09, Vlan 102 *darf nicht sein* C 192.168.1.0 is directly conected, Vlan 101 sho ip route vrf kunde2 B 192.168.0.0 is directly conected, 01:43:09, Vlan 100 B 192.168.1.0 is directly conected, 01:53:09, Vlan 101 *darf nicht sein* C 192.168.2.0 is directly conected, Vlan 102 sho ip route vrf zentrale B 192.168.1.0 is directly conected, 01:36:09, Vlan 101 B 192.168.2.0 is directly conected, 01:36:09, Vlan 102 C 192.168.0.0 is directly conected, Vlan 100 Folgende soll möglich sein: kunde1 darf zentrale anpingen kunde2 darf zentrale anpingen kunde1 darf NICHT kunde2 anpingen wie kann ich verhindern dass kunde1 und kunde2 sich gegenseitig anpingen können? wie soll ich es am besten konfigurieren??? kennt sich jemand damit aus?? Gruß

Hallo, Ich möchte einen Cisco 3550 Switch dazu zwingen, sich mit einem NTP Server zu synchronisieren. ntp clock-period 7184088 ntp server 192.168.1.123 Mit debug ntp events/packet sehe ich daß die beiden sich unterhalten aber der Switch synchroniesiert sich nicht!!! Switch#sho ntp status Clock is unsynchronized, stratum 16, no reference clock nominal freq is 250.0000 Hz, actual freq is 249.9967 Hz, precision is 2**19 reference time is 00000000.00000000 (01:00:00.000 MET Wed Jul 2 2008) clock offset is 0.0000 msec, root delay is 0.00 msec root dispersion is 0.00 msec, peer dispersion is 0.00 msec wie stellt man sowas generell ein bzw. welche commands fehlen noch auf dem Switch? Gruß

@blackbox: version 5.0 aber wie kann ich es so einstellen, dass der Rechner die ihm statisch vergebene IP für immer behält? Da jedes mal wenn der PC Neustart macht, geht die statische IP verloren und muß ich sie noch mal manuell eingeben!!! Muss da was besinder einstellen??? Gruß – keine Idee oder Tipp???

Es funktioniert nun... Es lag daran, dass der user:administrator nicht Mitglied der beiden Benutzergruppen(users,interactive) gewesen war! Aber da ist mir was anders mir aufgefallen: ich vergebe dem Rechner eine IP Adresse statisch und nach jedem Neustart ist die IP einfach weg!!! und ich muß es neu eingeben. wie kann ich es so einstellen, dass der Rechner die ihm statisch vergebene IP für immer behält? @wordo: 32Bit Danke im voruas! Gruß

Hallo, Ich versuche Cisco VPN Client version 5.0 unter Windows Vista Business(deutsch) zu installieren. Erstmal mußte ich zwei Benutzergruppen(users,Interactive) anlegen dann ließ sich die Software installieren. Nachdem Neustart läuft die Applikation aber nicht! sobald ich die Applikation starte, kommt Fenster mit dem Inhalt "please wait while windows configures Cisco Systems VPN Clients" und installiert/configuriert irgendwas dann passiert nichts!!! weiß jemand, wie ich es zum starten kriege? Danke & Gruß

Hallo, hier ist ein Configbeispiel einer E3: interface GigabitEthernet0/1 description *** E3 Leitung *** mtu 1700 ip address 192.168.1.1 255.255.255.248 no ip redirects no ip proxy-arp ip router isis duplex full speed 1000 media-type rj45 no negotiation auto tag-switching mtu 1600 tag-switching ip isis metric 1000 level-1 no isis hello padding always Gruß

hallo, kann mir jemand genauer erklären, was die folgenden 3 Zeilen bedeuten bzw auswirken: crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1 crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1 crypto map SDM_CMAP_1 client configuration address respond Schon Dank im voraus! Gruß

Mit Reihenfolge hat's nichts zu tun. nach jeder NAT/PAT Änderung immer das command "clear xlate" ausführen!!! so geht's auch: static (inside,outside) 100.10.10.30 192.168.168.87 netmask 255.255.255.255 dann soll's eigentlich funktionieren und somit wird der Host immer nur mit der 100.10.10.30 bidirektional übersetzt. Gruß

Cisco sagt folgendes dazu: %Warning: portfast should only be enabled on ports connected to a single host. Connecting hubs, concentrators, switches, bridges, etc... to this interface when portfast is enabled, can cause temporary bridging loops. Use with CAUTION Gruß

hallo zusammen, folgende Konstruk: Der Router terminiert einen VPN Site-to-Site Tunnel und dann soll die PIX den Traffic für das Subnet(192.168.1.0/24) ohne Übersetzung durchlassen. Der sonstige outbound Traffic(z. B. Internet usw.) wird einfach mit der outside-IP der PIX gepatet(PAT). Erst nachdem ich das command "static(inside,outside) 192.168.1.0 192.168.1.0 netmask 255..." gesetzt ist, lässt die PIX den inbound traffic bzw. interesting traffic durch aber dafür funktioniert das PAT für den sonstigen Traffic nicht mehr!!! wie kann ich diese beiden unter einen Hut kriegen? ----|Router|------|PIX|-------- LAN 192.168.1.0/24 PIX config: access-list 101 extended permit ip 192.168.1.0 255.255.255.0 10.1.6.0 255.255.255.0 global (outside) 1 interface nat (inside) 0 access-list 101 nat (inside) 1 0.0.0.0 0.0.0.0 Danke im voruas!

bin leider noch nicht weitergekommen... keine Idee oder Tipp ;-) Gruß

Erstmal danke für die Antworten! Hier mal die config: PIX: access-list noNAT permit ip 192.168.1.0 255.255.255.0 10.16.0.0 255.255.0.0 sysopt connection permit-ipsec crypto ipsec transform-set policy1 esp-3des esp-md5-hmac crypto map cisco 10 ipsec-isakmp crypto map cisco 10 match address noNAT crypto map cisco 10 set peer x.x.x.x crypto map cisco 10 set transform-set policy1 crypto map cisco interface outside isakmp enable outside isakmp key *********** address x.x.x.x netmask 255.255.255.255 no-xauth no-config-mode isakmp identity address isakmp policy 1 authentication pre-share isakmp policy 1 encryption 3des isakmp policy 1 hash md5 isakmp policy 1 group 2 isakmp policy 1 lifetime 86400 C6506 config: aaa new-model aaa authentication login default local aaa authentication login sdm_vpn_xauth_ml_1 local aaa authorization exec default local aaa authorization network sdm_vpn_group_ml_1 local crypto isakmp policy 1 encr 3des hash md5 authentication pre-share group 2 crypto isakmp key plazamedia address Y.Y.Y.Y no-xauth crypto isakmp keepalive 30 5 ! crypto isakmp client configuration group test key ******** pool SDM_POOL_1 netmask 255.255.255.0 crypto ipsec transform-set policy1 esp-3des esp-md5-hmac crypto dynamic-map SDM_DYNMAP_1 1 set transform-set policy1 reverse-route crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1 crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1 crypto map SDM_CMAP_1 client configuration address respond crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1 crypto map SDM_CMAP_1 10 ipsec-isakmp set peer Y.Y.Y.Y set transform-set policy1 match address 100 interface vlan 35 description [ outside - Internet ] crypto map SDM_CMAP_1 ip local pool SDM_POOL_1 192.168.1.1 192.168.1.100 access-list 100 permit ip 10.16.0.0 0.0.255.255 192.168.6.0 0.0.0.255 Ich möchte dass, der Catalyst6506 als VPN Remote Access Server und auch Site-to-Site macht aber das tut er anscheinend nicht!!! hab ich da was übersehen oder fehlt irgendwas noch in der config?? mit der o. g. config funktioniert VPN Remote Access ohne Problem aber L2L nicht und bekomme als status "CONF_ADDR" mit sho cry isa sa. Wenn ich aber die folgenden 3 Zeilen von der config rausnehme, funktioniert L2L aber Remote Access nicht mehr: crypto map SDM_CMAP_1 client authentication list sdm_vpn_xauth_ml_1 crypto map SDM_CMAP_1 isakmp authorization list sdm_vpn_group_ml_1 crypto map SDM_CMAP_1 client configuration address respond Wie läßt sich sowas konfigurieren, sodass ich mich über Cisco VPN Client auf den C6506 verbinden kann und er auch als peer eine L2L VPN Verbindung aufbauen kann? was ist der zusammenhang der 3 Zeilen mit Site-to-Site tunnel? Ich dachte, die sind nur für die VPN Clients!

Moin Moin, Ich versuche zwischen einem C6506(mit VPN Modul) und einer PIX501 einen Site-to-Site IPSec Tunnel aufzubauen. Es funktioniert soweit bis auf daß ich keinen ping durchbekomme und komische state auf der Switch-Seite habe! Sobal ich versuche intersting traffic zu erzeugen, bekomme ich auf mit dem command "sho cry isa sa" auf beiden Seiten die folgenden Medlungen: PIX state: QM_IDLE Switch state:CONF_ADDR was bedeutet eigentlich state "CONF_ADDR" und woran könnte es liegen? Hoffe, hat man sowas gesehen hat! Danke im voraus Grüsse

Moin Moin, was ist der grundlegende Unterschied zwischen den folgenden Modus: Active/Active Failover Active/Standby Failover und welche Vor- und Nachteile der jeweiligen Modus? Hat man vielleicht gute bzw. schlechte Erfahrung mit einem der beiden Modus? Ich wäre für jede Antwort bzw. Meinung dankbar. Gruss

aber standardmaessig ist die Anzahl der gleichzeitiger Verbindungen mit dem selben Account nicht begrenzt oder? bei der PIX meine ich.

moin moin, Gibt es vielleicht eine Begrenzung der Anzahl gleichzeitiger VPN Verbindungen, die mit dem selben Account sind? der Account ist local auf der Firewall angelegt. wie kann ich sonst die Anzahl der gleichzeitiger Verbindungen festlegen? Danke & Gruss

erstmal ein frohes neues Jahr... auf zwei Switchen läuft OSPF: Switch1: interface loopback0 10.0.0.1 255.255.255.255 router ospf 10 router-id 10.0.0.1 log-adjacency-changes redistribute connected subnets redistribute static subnets network 192.168.1.0 0.0.0.255 area 0 network 10.0.0.0 0.0.0.255 area 0 default-information originate Switch2: interface loopback0 10.0.0.2 255.255.255.255 router ospf 10 router-id 10.0.0.2 log-adjacency-changes redistribute connected subnets redistribute static subnets network 192.168.1.0 0.0.0.255 area 0 network 10.0.0.0 0.0.0.255 area 0 default-information originate Problem: der Switch1 soll als DR und der Switch2 als BDR fungieren! wenn ich der Switch1 als erstes hochfahre, bleibt als DR aber sobald ich den command "clear ip ospf proces" ausführe, ist der Switch2 DR und der Switch1 BDR, und wenn ich wieder den gleichen Befehl auf den Switch2 ausführe, wird der Switch1 DR und der Switch2 BDR, quasi "der erste, der da ist, wird DR sein" wie kann ich das festlegen, sodass der Switch1 immer DR und der Switch2 nur wenn der Switch1 nicht mehr erreichbar DR wird? Switch1 DR Switch2 BDR (nur wenn Switch1 nicht mehr da ist, wird er selber DR) Ich dachte durch die router-id kann man das festlegen oder priority? Ein config-example wäre sehr hilfsreich :-) Danke im voraus Gruss

sorry im falschen Forum @admins: Bitte in CISCO Forum – Allgemein umziehen! Danke!